基于大數(shù)據(jù)技術(shù)的信息系統(tǒng)用戶及權(quán)限管理審計(jì)研究

陳偉 李曉鵬 居江寧

作者單位：南京審計(jì)大學(xué) 審計(jì)署金融審計(jì)司 審計(jì)署駐上海特派員辦事處

一、引 言

隨著信息技術(shù)的發(fā)展，大數(shù)據(jù)時(shí)代的到來(lái)為審計(jì)工作帶來(lái)了機(jī)遇和挑戰(zhàn)。目前國(guó)內(nèi)高度關(guān)注大數(shù)據(jù)技術(shù)及其在審計(jì)中的應(yīng)用。審計(jì)署曾指出要積極跟蹤國(guó)內(nèi)外大數(shù)據(jù)分析技術(shù)的新進(jìn)展、新動(dòng)態(tài)，探索在審計(jì)實(shí)踐中運(yùn)用大數(shù)據(jù)技術(shù)的途徑，為推動(dòng)大數(shù)據(jù)背景下的審計(jì)信息化建設(shè)做好準(zhǔn)備。2015年8月國(guó)務(wù)院印發(fā)《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》。2015年12月中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)的《關(guān)于實(shí)行審計(jì)全覆蓋的實(shí)施意見(jiàn)》指出，“創(chuàng)新審計(jì)技術(shù)方法是實(shí)現(xiàn)審計(jì)全覆蓋的一個(gè)重要手段，要求構(gòu)建大數(shù)據(jù)審計(jì)工作模式，提高審計(jì)能力、質(zhì)量和效率，擴(kuò)大審計(jì)監(jiān)督的廣度和深度”。社會(huì)審計(jì)也高度重視大數(shù)據(jù)技術(shù)，中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（2017）提出了研究大數(shù)據(jù)、人工智能等先進(jìn)信息技術(shù)在注冊(cè)會(huì)計(jì)師行業(yè)的落地應(yīng)用，促進(jìn)會(huì)計(jì)師事務(wù)所信息化。筆者分析了大數(shù)據(jù)環(huán)境下電子數(shù)據(jù)審計(jì)的機(jī)遇、挑戰(zhàn)與方法（陳偉，2016），研究了大數(shù)據(jù)環(huán)境下基于模糊匹配的審計(jì)方法（陳偉，2016）、大數(shù)據(jù)環(huán)境下基于數(shù)據(jù)可視化技術(shù)的電子數(shù)據(jù)審計(jì)方法（陳偉，2017）、基于大數(shù)據(jù)可視化技術(shù)的審計(jì)線索特征挖掘方法（陳偉，2018），以及基于Benford定律的大數(shù)據(jù)審計(jì)方法（陳偉等，2017）。國(guó)外實(shí)務(wù)界與學(xué)術(shù)界也高度關(guān)注大數(shù)據(jù)技術(shù)在審計(jì)中的應(yīng)用。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)2011年發(fā)布了《數(shù)據(jù)分析技術(shù)》指南（Lambrechts等，2011），2017年又發(fā)布了《理解與審計(jì)大數(shù)據(jù)》指南（GTAG，2017）；美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（AICPA）（2014）分析了大數(shù)據(jù)環(huán)境對(duì)審計(jì)工作的影響；Brown（2015）認(rèn)為要多關(guān)注審計(jì)人員處理大數(shù)據(jù)的能力，比如如何對(duì)審計(jì)人員進(jìn)行大數(shù)據(jù)審計(jì)方面的培訓(xùn)，如何開(kāi)發(fā)大數(shù)據(jù)審計(jì)工具或借助其他領(lǐng)域的軟件工具來(lái)開(kāi)展大數(shù)據(jù)審計(jì)；Earley（2015）分析了大數(shù)據(jù)技術(shù)給審計(jì)工作帶來(lái)的機(jī)遇和挑戰(zhàn)，研究了大數(shù)據(jù)技術(shù)在CPA審計(jì)中的應(yīng)用；Gepp（2018）研究了大數(shù)據(jù)在審計(jì)研究與實(shí)踐中的目前現(xiàn)狀與未來(lái)機(jī)遇。綜上所述，研究大數(shù)據(jù)環(huán)境下的審計(jì)理論與方法具有重要的理論意義和應(yīng)用價(jià)值。

信息化環(huán)境下，除了通過(guò)審計(jì)電子數(shù)據(jù)獲得審計(jì)證據(jù)之外（陳偉，2012），審計(jì)被審計(jì)單位的信息系統(tǒng)，即信息系統(tǒng)審計(jì)，也是目前開(kāi)展審計(jì)工作的一項(xiàng)重要工作。對(duì)于一些信息化程度高、對(duì)信息系統(tǒng)依賴大的行業(yè)，如銀行等，信息系統(tǒng)審計(jì)更為重要。中國(guó)銀監(jiān)會(huì)2017年4月發(fā)布的關(guān)于銀行業(yè)風(fēng)險(xiǎn)防控工作的指導(dǎo)意見(jiàn)（銀監(jiān)發(fā)〔2017〕6號(hào)）中指出：“（三十四）加強(qiáng)信息科技風(fēng)險(xiǎn)防控。銀行業(yè)金融機(jī)構(gòu)要全面強(qiáng)化網(wǎng)絡(luò)信息安全管理，提高身份認(rèn)證機(jī)制安全性；加大對(duì)新興電子渠道風(fēng)險(xiǎn)的管理力度，完善災(zāi)備體系，制定完善應(yīng)對(duì)預(yù)案；完善外包管理體系，降低外包風(fēng)險(xiǎn)，不得將信息科技管理責(zé)任外包。對(duì)發(fā)生嚴(yán)重信息科技風(fēng)險(xiǎn)事件的銀行業(yè)金融機(jī)構(gòu)，各級(jí)監(jiān)管機(jī)構(gòu)要及時(shí)采取必要的強(qiáng)制性監(jiān)管措施?！?017年7月14日在北京召開(kāi)的全國(guó)金融工作會(huì)議上指出：強(qiáng)化監(jiān)管，提高防范化解風(fēng)險(xiǎn)能力是一項(xiàng)重要工作。

綜上所述，信息系統(tǒng)審計(jì)是目前審計(jì)信息化的一項(xiàng)重要工作，大數(shù)據(jù)環(huán)境同樣對(duì)信息系統(tǒng)審計(jì)產(chǎn)生了影響。因此，大數(shù)據(jù)環(huán)境下如何開(kāi)展信息系統(tǒng)審計(jì)成為一個(gè)重要問(wèn)題。本文結(jié)合目前大數(shù)據(jù)與信息系統(tǒng)審計(jì)的研究與應(yīng)用現(xiàn)狀，以信息系統(tǒng)用戶及權(quán)限管理審計(jì)為例，研究大數(shù)據(jù)環(huán)境下的信息系統(tǒng)審計(jì)問(wèn)題。

二、大數(shù)據(jù)環(huán)境下的信息系統(tǒng)審計(jì)研究背景分析

（一）大數(shù)據(jù)審計(jì)的原理

1．大數(shù)據(jù)的內(nèi)涵及特點(diǎn)

2008年9月4日《Nature》（自然）雜志首次提出大數(shù)據(jù)（Big data）的概念。2011年6月，世界著名咨詢機(jī)構(gòu)麥肯錫公司發(fā)布了報(bào)告《Big data： The next frontier for innovation, competition, and productivity》（大數(shù)據(jù)：下一個(gè)創(chuàng)新、競(jìng)爭(zhēng)和生產(chǎn)力的前沿），給出了大數(shù)據(jù)定義：大數(shù)據(jù)指的是大小超出常規(guī)數(shù)據(jù)庫(kù)工具獲取、存儲(chǔ)、管理和分析能力的數(shù)據(jù)集（Manyika，2011）。Gartner（高德納咨詢公司）把大數(shù)據(jù)定義為：大數(shù)據(jù)是具有大容量、快速、和（或）多樣性等特點(diǎn)的信息資產(chǎn)，為了能提高決策、洞察發(fā)現(xiàn)和流程優(yōu)化，這種信息資產(chǎn)需要新形式的處理方法。大數(shù)據(jù)時(shí)代的到來(lái)為各行業(yè)提供了機(jī)遇和挑戰(zhàn)?！禨cience》（科學(xué)）雜志2011年?？懻撊绾喂芾泶髷?shù)據(jù)（Science，2011）。目前，大數(shù)據(jù)的研究和應(yīng)用已經(jīng)成為國(guó)內(nèi)外的熱點(diǎn)。世界各國(guó)均高度重視大數(shù)據(jù)相關(guān)問(wèn)題的研究與探索，并從國(guó)家戰(zhàn)略層面推出研究規(guī)劃以應(yīng)對(duì)大數(shù)據(jù)帶來(lái)的機(jī)遇和挑戰(zhàn)。

概括來(lái)說(shuō)，大數(shù)據(jù)主要具有4個(gè)特點(diǎn)：大量（V o l u m e）、多樣性（V a r i e t y）、快速（Velocity）、真實(shí)性（Veracity），有的文獻(xiàn)認(rèn)為大數(shù)據(jù)還有具有可視化（Visualization）、價(jià)值（Value）、變化性（Variability）等特點(diǎn)（GTAG，2017）。

2．大數(shù)據(jù)審計(jì)的內(nèi)涵

大數(shù)據(jù)審計(jì)（Big Data Auditing）目前尚無(wú)統(tǒng)一定義。根據(jù)目前大數(shù)據(jù)審計(jì)的研究與應(yīng)用情況，大數(shù)據(jù)審計(jì)可以看成是隨著大數(shù)據(jù)技術(shù)的發(fā)展而產(chǎn)生的一種新的審計(jì)方式，其內(nèi)容包括大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)審計(jì)（如何利用大數(shù)據(jù)技術(shù)審計(jì)電子數(shù)據(jù)、如何審計(jì)大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)）和大數(shù)據(jù)環(huán)境下的計(jì)算機(jī)信息系統(tǒng)審計(jì)（如何利用大數(shù)據(jù)技術(shù)審計(jì)信息系統(tǒng)、如何審計(jì)大數(shù)據(jù)環(huán)境下的信息系統(tǒng)）兩方面的內(nèi)容，大數(shù)據(jù)審計(jì)所包括的主要內(nèi)容可簡(jiǎn)要?dú)w納為如圖1所示。其中，大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)審計(jì)問(wèn)題是目前研究與應(yīng)用的熱點(diǎn)。由此可見(jiàn)，大數(shù)據(jù)審計(jì)是伴隨著大數(shù)據(jù)時(shí)代的到來(lái)，審計(jì)信息化的進(jìn)一步發(fā)展。

（二）信息系統(tǒng)審計(jì)簡(jiǎn)介

信息系統(tǒng)審計(jì)（Information System Audit，ISA）一般理解為對(duì)計(jì)算機(jī)系統(tǒng)的審計(jì)，國(guó)際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)把信息系統(tǒng)審計(jì)定義為：信息系統(tǒng)審計(jì)是收集和評(píng)估證據(jù)，以確定信息系統(tǒng)與相關(guān)資源能否適當(dāng)?shù)乇Ｗo(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、提供相關(guān)和可靠的信息、有效完成組織目標(biāo)、高效率地利用資源并且存在有效的內(nèi)部控制，以確保滿足業(yè)務(wù)、運(yùn)作和控制目標(biāo)，在發(fā)生非期望事件的情況下，能夠及時(shí)地阻止、檢測(cè)或更正的過(guò)程。目前開(kāi)展信息系統(tǒng)審計(jì)時(shí)一般從以下兩個(gè)方面出發(fā)：

圖1 大數(shù)據(jù)審計(jì)的主要內(nèi)容

圖2 基于大數(shù)據(jù)技術(shù)的信息系統(tǒng)用戶及權(quán)限管理審計(jì)方法原理

圖3 相關(guān)文本數(shù)據(jù)可視化分析結(jié)果示例

1．一般控制審計(jì)

簡(jiǎn)單地講，信息系統(tǒng)一般控制是除了信息系統(tǒng)應(yīng)用程序控制以外的其他控制，它應(yīng)用于一個(gè)單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制。其基本目標(biāo)為：防止系統(tǒng)被非法侵入、保護(hù)信息系統(tǒng)、確保數(shù)據(jù)安全、保證在意外情況下的持續(xù)運(yùn)行等。

根據(jù)以上信息系統(tǒng)一般控制的主要內(nèi)容及目標(biāo)，信息系統(tǒng)一般控制審計(jì)就是對(duì)信息系統(tǒng)整體環(huán)境控制的審計(jì)，其主要內(nèi)容一般包括信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)審計(jì)、信息系統(tǒng)運(yùn)行管理審計(jì)、信息系統(tǒng)安全審計(jì)、業(yè)務(wù)連續(xù)性管理審計(jì)、IT外包審計(jì)等（陳偉，2017）。

2．應(yīng)用控制審計(jì)

簡(jiǎn)單地講，信息系統(tǒng)應(yīng)用控制是為了適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制，它針對(duì)的是與信息系統(tǒng)應(yīng)用相關(guān)的事務(wù)和數(shù)據(jù)，目的是確保數(shù)據(jù)的準(zhǔn)確性、完整性、有效性、可驗(yàn)證性、可靠性和一致性。

應(yīng)用控制審計(jì)就是為了達(dá)到以上目的，對(duì)應(yīng)用系統(tǒng)控制的審計(jì)。

（三）大數(shù)據(jù)環(huán)境下信息系統(tǒng)審計(jì)的主要變化

1．大數(shù)據(jù)環(huán)境對(duì)信息系統(tǒng)審計(jì)的需求越來(lái)越強(qiáng)

隨著大數(shù)據(jù)環(huán)境的發(fā)展，信息系統(tǒng)中的數(shù)據(jù)量越來(lái)越大，數(shù)據(jù)的存儲(chǔ)方式也隨之不斷變化，數(shù)據(jù)的安全性越來(lái)越重要。因此，大數(shù)據(jù)環(huán)境對(duì)信息系統(tǒng)審計(jì)的需求越來(lái)越強(qiáng)。

2．大數(shù)據(jù)環(huán)境對(duì)信息系統(tǒng)審計(jì)的技術(shù)要求越來(lái)越高

隨著大數(shù)據(jù)環(huán)境的發(fā)展，被審計(jì)單位信息化程度越來(lái)越高，信息化應(yīng)用范圍越來(lái)越廣，對(duì)信息化的依賴程度越來(lái)越高，使用的應(yīng)用系統(tǒng)也越來(lái)越多，業(yè)務(wù)系統(tǒng)也越來(lái)越復(fù)雜。因此，大數(shù)據(jù)環(huán)境對(duì)信息系統(tǒng)審計(jì)的技術(shù)要求越來(lái)越高。

3．大數(shù)據(jù)環(huán)境下信息系統(tǒng)審計(jì)方法需要不斷創(chuàng)新

大數(shù)據(jù)環(huán)境下，除了目前常用的信息系統(tǒng)審計(jì)方法，如訪談、現(xiàn)場(chǎng)觀察、文檔查看、抽樣、穿行測(cè)試等之外，還可以探索如何采用大數(shù)據(jù)的相關(guān)技術(shù)開(kāi)展信息系統(tǒng)審計(jì)。

圖4 “離職人員用戶權(quán)限未銷戶情況”SQL語(yǔ)句

圖5 “離職人員用戶權(quán)限尚未銷戶情況”數(shù)據(jù)分析結(jié)果示例

三、大數(shù)據(jù)環(huán)境下用戶及權(quán)限管理審計(jì)方法原理分析

（一）用戶及權(quán)限管理審計(jì)簡(jiǎn)介

如前文所述，信息系統(tǒng)運(yùn)行管理審計(jì)是信息系統(tǒng)審計(jì)的一項(xiàng)重要內(nèi)容。信息系統(tǒng)運(yùn)行管理主要是對(duì)上線系統(tǒng)的日常運(yùn)行進(jìn)行管理。信息系統(tǒng)的日常運(yùn)行要與信息系統(tǒng)開(kāi)發(fā)和維護(hù)分離，確保一個(gè)單位信息科技部門(mén)內(nèi)部的崗位制約。其中，用戶及權(quán)限管理是信息系統(tǒng)運(yùn)行管理中的一項(xiàng)重要內(nèi)容，它要求：保證只有經(jīng)授權(quán)的用戶才能訪問(wèn)，防止非授權(quán)訪問(wèn)。因此，在開(kāi)展信息系統(tǒng)運(yùn)行管理審計(jì)時(shí)，審計(jì)人員需要檢查業(yè)務(wù)系統(tǒng)是否能保證只有經(jīng)授權(quán)的用戶才能訪問(wèn)，能否防止非授權(quán)訪問(wèn)。本節(jié)以用戶及權(quán)限管理審計(jì)為例，分析大數(shù)據(jù)環(huán)境下如何開(kāi)展信息系統(tǒng)審計(jì)。

傳統(tǒng)環(huán)境下，被審計(jì)單位信息化程度低，應(yīng)用系統(tǒng)較少，操作用戶較少，因此，對(duì)于用戶及權(quán)限管理審計(jì)只需要做簡(jiǎn)單的訪談或現(xiàn)場(chǎng)察看一下被審計(jì)單位的應(yīng)用系統(tǒng)即可。但目前大數(shù)據(jù)環(huán)境下，被審計(jì)單位信息化程度高，應(yīng)用系統(tǒng)較多，一些單位應(yīng)用系統(tǒng)多達(dá)幾百個(gè)，甚至上千個(gè)，另外，操作用戶較多。因此，用戶及權(quán)限管理是一個(gè)重要挑戰(zhàn)。特別是對(duì)一些員工流動(dòng)（離職或單位內(nèi)部崗位調(diào)整等）比較頻繁的單位，這種問(wèn)題更為嚴(yán)重。

（二）用戶及權(quán)限管理審計(jì)的數(shù)據(jù)來(lái)源

大數(shù)據(jù)環(huán)境下，對(duì)于復(fù)雜信息系統(tǒng)的用戶及權(quán)限管理審計(jì)需要全方位分析相關(guān)數(shù)據(jù)，一般可以對(duì)以下數(shù)據(jù)進(jìn)行分析：

1.數(shù)據(jù)庫(kù)中的操作用戶信息數(shù)據(jù)

從被審計(jì)單位信息管理部門(mén)采集相關(guān)操作用戶信息數(shù)據(jù)，通過(guò)該數(shù)據(jù)，可以掌握目前被審計(jì)單位所有應(yīng)用系統(tǒng)中的操作用戶情況，比如用戶狀態(tài)、用戶相關(guān)信息等。

2.人力資源部門(mén)數(shù)據(jù)

從被審計(jì)單位人力資源部門(mén)采集相關(guān)員工信息數(shù)據(jù)，通過(guò)該數(shù)據(jù)，可以掌握目前被審計(jì)單位所有員工變化情況，比如用戶離職或單位內(nèi)部崗位調(diào)整等信息。

3.系統(tǒng)操作日志數(shù)據(jù)

從被審計(jì)單位信息管理部門(mén)采集相關(guān)應(yīng)用系統(tǒng)操作日志數(shù)據(jù)，通過(guò)該數(shù)據(jù)，可以掌握目前所有應(yīng)用系統(tǒng)中的員工在該應(yīng)用系統(tǒng)中的相關(guān)操作信息。

4.被審計(jì)單位內(nèi)部非結(jié)構(gòu)化數(shù)據(jù)

除了以上結(jié)構(gòu)化數(shù)據(jù)之外，還可以從被審計(jì)單位采集被審計(jì)單位的部門(mén)年度工作總結(jié)、風(fēng)險(xiǎn)分析報(bào)告、信息系統(tǒng)的相關(guān)審計(jì)報(bào)告等非結(jié)構(gòu)化數(shù)據(jù)。通過(guò)這些文本數(shù)據(jù)，可以了解目前被審計(jì)單位應(yīng)用系統(tǒng)曾經(jīng)發(fā)生過(guò)哪些風(fēng)險(xiǎn)，便于審計(jì)人員輔助判斷應(yīng)用系統(tǒng)的用戶及權(quán)限管理問(wèn)題。

5.被審計(jì)單位外部數(shù)據(jù)

除了通過(guò)以上方法獲得被審計(jì)單位內(nèi)部的數(shù)據(jù)之外，審計(jì)人員還可以通過(guò)一些大數(shù)據(jù)工具抓取相關(guān)網(wǎng)上公開(kāi)數(shù)據(jù)，或者通過(guò)一些大數(shù)據(jù)工具自動(dòng)搜索網(wǎng)上關(guān)于被審計(jì)單位的一些公開(kāi)報(bào)道的風(fēng)險(xiǎn)信息，這些外部數(shù)據(jù)便于審計(jì)人員輔助判斷被審計(jì)單位在應(yīng)用系統(tǒng)用戶及權(quán)限管理方面存在的風(fēng)險(xiǎn)情況。另外，必要的情況下，可以查詢相關(guān)工商數(shù)據(jù)、銀行數(shù)據(jù)等信息。

（三）用戶及權(quán)限管理審計(jì)的數(shù)據(jù)分析方法

1.大數(shù)據(jù)多數(shù)據(jù)源綜合分析技術(shù)

一般采用基于SQL的數(shù)據(jù)查詢方法。數(shù)據(jù)查詢是目前電子數(shù)據(jù)審計(jì)中最常用的審計(jì)數(shù)據(jù)分析方法。數(shù)據(jù)查詢是指審計(jì)人員針對(duì)實(shí)際的被審計(jì)對(duì)象，根據(jù)自己的經(jīng)驗(yàn)，按照一定的審計(jì)分析模型，在通用軟件（如Oracle、SQL Server、Microsoft Access）和審計(jì)軟件中采用SQL語(yǔ)句來(lái)分析采集來(lái)的電子數(shù)據(jù)?；虿捎靡恍徲?jì)軟件通過(guò)運(yùn)行各種各樣的查詢命令以某些預(yù)定義的格式來(lái)檢測(cè)被審計(jì)單位的電子數(shù)據(jù)。這種方法既提高了審計(jì)的正確性與準(zhǔn)確性，也使審計(jì)人員從冗長(zhǎng)乏味的計(jì)算工作中解放出來(lái)，告別以前手工翻賬的作業(yè)模式。另外，運(yùn)用SQL語(yǔ)句的強(qiáng)大查詢功能，通過(guò)構(gòu)建一些復(fù)雜的SQL語(yǔ)句，可以完成模糊查詢以及多表之間的交叉查詢等功能，從而可以完成復(fù)雜的審計(jì)數(shù)據(jù)分析功能。

圖7 操作用戶信息數(shù)據(jù)重號(hào)分析結(jié)果示例

圖8 離職、內(nèi)部調(diào)動(dòng)人員部門(mén)分布情況可視化分析示例

大數(shù)據(jù)環(huán)境下，審計(jì)人員可以采用常用的數(shù)據(jù)查詢方法，通過(guò)比較數(shù)據(jù)庫(kù)中的操作用戶數(shù)據(jù)和人力資源數(shù)據(jù)，查找離職員工賬號(hào)仍然正常或員工單位內(nèi)部崗位調(diào)整的相關(guān)信息，并可以通過(guò)比較離職或單位內(nèi)部崗位調(diào)整員工信息和應(yīng)用系統(tǒng)操作日志數(shù)據(jù)，分析這些員工在應(yīng)用系統(tǒng)中的相關(guān)操作信息。

2.審計(jì)軟件中的數(shù)值分析（重號(hào)分析）方法

數(shù)值分析是根據(jù)被審計(jì)數(shù)據(jù)記錄中某一字段具體的數(shù)據(jù)值的分布情況、出現(xiàn)頻率等指標(biāo)，對(duì)該字段進(jìn)行分析，從而發(fā)現(xiàn)審計(jì)線索的一種審計(jì)數(shù)據(jù)分析方法。這種方法是從“微觀”的角度對(duì)電子數(shù)據(jù)進(jìn)行分析，審計(jì)人員在使用時(shí)不用考慮具體的被審計(jì)對(duì)象和具體的業(yè)務(wù)。在完成數(shù)值分析之后，針對(duì)分析出的可疑數(shù)據(jù)，再結(jié)合具體的業(yè)務(wù)進(jìn)行審計(jì)判斷，從而發(fā)現(xiàn)審計(jì)線索，獲得審計(jì)證據(jù)。相對(duì)于其他方法，這種審計(jì)數(shù)據(jù)分析方法易于發(fā)現(xiàn)被審計(jì)數(shù)據(jù)中的隱藏信息。常用的數(shù)值分析方法主要有重號(hào)分析、斷號(hào)分析和Benford定律分析。其中，重號(hào)分析用來(lái)查找被審計(jì)數(shù)據(jù)某個(gè)字段（或某些字段）中重復(fù)的數(shù)據(jù)。

通過(guò)數(shù)值分析（重號(hào)分析）方法，審計(jì)人員可以查找被審計(jì)系統(tǒng)中用戶的賬號(hào)是否重復(fù)。

3.文本文件可視化分析方法

大數(shù)據(jù)環(huán)境下，審計(jì)人員可以借助大數(shù)據(jù)可視化分析工具（Koh，2010；陳偉，2017），分析被審計(jì)單位的相關(guān)會(huì)議紀(jì)要、部門(mén)年度工作總結(jié)、風(fēng)險(xiǎn)分析報(bào)告、信息系統(tǒng)的相關(guān)審計(jì)報(bào)告等非結(jié)構(gòu)化數(shù)據(jù)，查找突出風(fēng)險(xiǎn)，發(fā)現(xiàn)用戶權(quán)限管理方面的問(wèn)題。另外，審計(jì)人員可以借助大數(shù)據(jù)可視化分析工具，分析不同部門(mén)人員的離職、內(nèi)部調(diào)動(dòng)頻率，從而為用戶及權(quán)限管理及審計(jì)提供決策依據(jù)。

4.被審計(jì)單位外部數(shù)據(jù)分析

在必要的情況下，審計(jì)人員可以借助數(shù)據(jù)庫(kù)工具、審計(jì)軟件、大數(shù)據(jù)可視化分析工具、文本分析軟件等對(duì)采集來(lái)的被審計(jì)單位外部數(shù)據(jù)進(jìn)行分析，便于審計(jì)人員輔助判斷應(yīng)用系統(tǒng)的用戶及權(quán)限管理問(wèn)題。

（四）基于大數(shù)據(jù)技術(shù)的信息系統(tǒng)用戶及權(quán)限管理審計(jì)方法原理

根據(jù)對(duì)被審計(jì)單位的調(diào)查，在訪談和現(xiàn)場(chǎng)觀察等基礎(chǔ)上，采集被審計(jì)單位的員工變動(dòng)信息、全單位操作用戶信息、用戶操作日志等結(jié)構(gòu)化數(shù)據(jù)，以及相關(guān)會(huì)議紀(jì)要、部門(mén)年度工作總結(jié)、風(fēng)險(xiǎn)分析報(bào)告、信息系統(tǒng)的相關(guān)審計(jì)報(bào)告等非結(jié)構(gòu)化數(shù)據(jù)；在審計(jì)大數(shù)據(jù)集成和預(yù)處理的基礎(chǔ)上，基于“集中分析，分散核查”的審計(jì)思路，采用大數(shù)據(jù)可視化工具對(duì)相關(guān)數(shù)據(jù)進(jìn)行分析，審計(jì)人員通過(guò)對(duì)可視化的分析結(jié)果進(jìn)行觀察，快速?gòu)谋粚徲?jì)大數(shù)據(jù)信息中發(fā)現(xiàn)異常數(shù)據(jù)，獲得審計(jì)線索。另外，審計(jì)人員可以根據(jù)需要，對(duì)異常數(shù)據(jù)做細(xì)化分析，從不同果數(shù)據(jù)做進(jìn)一步的延伸審計(jì)和審計(jì)事實(shí)確認(rèn)，最終獲得審計(jì)證據(jù)。

綜上分析，基于大數(shù)據(jù)技術(shù)的信息系統(tǒng)用戶及權(quán)限管理審計(jì)方法原理如圖2所示。的方面獲得對(duì)被審計(jì)數(shù)據(jù)的理解，從而全面地分析被審計(jì)數(shù)據(jù)。在可視化分析結(jié)果的基礎(chǔ)上，審計(jì)人員可以借助SQL查詢方法和審計(jì)軟件對(duì)被審計(jì)數(shù)據(jù)進(jìn)行建模和分析，進(jìn)一步獲得相關(guān)證據(jù)。在此基礎(chǔ)上，通過(guò)對(duì)這些結(jié)

信息系統(tǒng)審計(jì)（I n f o r m a t i o n S y s t e m A u d i t，I S A）一般理解為對(duì)計(jì)算機(jī)系統(tǒng)的審計(jì)，國(guó)際信息系統(tǒng)審計(jì)和控制協(xié)會(huì)把信息系統(tǒng)審計(jì)定義為：信息系統(tǒng)審計(jì)是收集和評(píng)估證據(jù)，以確定信息系統(tǒng)與相關(guān)資源能否適當(dāng)?shù)乇Ｗo(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、提供相關(guān)和可靠的信息、有效完成組織目標(biāo)、高效率地利用資源并且存在有效的內(nèi)部控制，以確保滿足業(yè)務(wù)、運(yùn)作和控制目標(biāo)，在發(fā)生非期望事件的情況下，能夠及時(shí)地阻止、檢測(cè)或更正的過(guò)程。

四、大數(shù)據(jù)環(huán)境下用戶及權(quán)限管理審計(jì)方法應(yīng)用案例及分析

信息系統(tǒng)用戶及權(quán)限管理審計(jì)的關(guān)鍵過(guò)程環(huán)節(jié)分析如下：

1.相關(guān)文本數(shù)據(jù)可視化分析

為了便于審計(jì)人員從整體上把握被審計(jì)大數(shù)據(jù)情況，快速發(fā)現(xiàn)可疑數(shù)據(jù)，提高審計(jì)效率，實(shí)現(xiàn)“集中分析，分散核查”的審計(jì)方式，采集相關(guān)文本數(shù)據(jù)，如被審計(jì)單位的相關(guān)會(huì)議紀(jì)要、部門(mén)年度工作總結(jié)、風(fēng)險(xiǎn)分析報(bào)告、信息系統(tǒng)的相關(guān)審計(jì)報(bào)告等，以及從網(wǎng)上采集來(lái)的被審計(jì)單位相關(guān)風(fēng)險(xiǎn)信息，采用大數(shù)據(jù)可視化工具對(duì)其進(jìn)行分析，其結(jié)果如圖3所示。

由圖3可以發(fā)現(xiàn)：被審計(jì)單位的信息系統(tǒng)在密碼、權(quán)限、用戶等管理上一直受到相關(guān)部門(mén)的重視。另外，通過(guò)查閱從網(wǎng)上采集來(lái)的被審計(jì)單位相關(guān)風(fēng)險(xiǎn)信息，被審計(jì)單位存在多次被相關(guān)監(jiān)管部門(mén)通告的情況，因此，信息系統(tǒng)的權(quán)限和用戶管理存在一定的風(fēng)險(xiǎn)。

2.結(jié)構(gòu)化數(shù)據(jù)分析

為了進(jìn)一步分析被審計(jì)單位哪些離職、內(nèi)部調(diào)動(dòng)人員的權(quán)限和用戶管理是否存在風(fēng)險(xiǎn)，需要對(duì)采集來(lái)的被審計(jì)單位的人力資源部員工信息、全單位操作用戶信息、用戶操作日志等結(jié)構(gòu)化數(shù)據(jù)進(jìn)行分析。比如，分析該數(shù)據(jù)中“離職人員用戶權(quán)限尚未銷戶情況”方面的數(shù)據(jù)，相應(yīng)的SQL語(yǔ)句分別如圖4所示。

由于數(shù)據(jù)量大，把采集來(lái)的被審計(jì)單位的人力資源部員工信息、全單位操作用戶信息、用戶操作日志等結(jié)構(gòu)化數(shù)據(jù)全部采集到Oracle數(shù)據(jù)庫(kù)中，并借助Oracle數(shù)據(jù)庫(kù)的PL/SQL Developer進(jìn)行分析，結(jié)果如圖5所示。

由圖5可以發(fā)現(xiàn)：被審計(jì)單位存在35名離職員工的用戶及權(quán)限尚未中止的情況。為進(jìn)一步確認(rèn)這些尚未中止的用戶是否仍在使用，考慮到數(shù)據(jù)量大，仍借助Oracle數(shù)據(jù)庫(kù)的PL/SQL Developer分別分析這些離職但權(quán)限尚未消戶人員的“用戶操作日志”信息，并把以上日志導(dǎo)出，其中某一員工的“用戶操作日志”信息如圖6所示。結(jié)合采集來(lái)的被審計(jì)單位的人力資源部員工信息，通過(guò)對(duì)比該員工的離職時(shí)間，發(fā)現(xiàn)該員工離職后用戶仍在使用（圖6中從箭頭指向位置起，紅顏色的“用戶操作日志”信息為離職后用戶仍在使用的日志信息）。同理可分析其他離職但權(quán)限尚未消戶員工的“用戶操作日志”信息。

根據(jù)以上分析結(jié)果，發(fā)現(xiàn)被審計(jì)單位存在33名離職員工的用戶仍在使用的情況。經(jīng)向被審計(jì)單位延伸取證，最終確認(rèn)除了1名人員為姓名重復(fù)，2名人員為離職后又復(fù)職的原因之外，其余30名離職員工的用戶仍在正常使用。通過(guò)以上過(guò)程，不難看出：被審計(jì)單位對(duì)于離職員工在應(yīng)用系統(tǒng)中的權(quán)限管理缺少有效的控制，給被審計(jì)單位信息系統(tǒng)的運(yùn)行管理造成嚴(yán)重的風(fēng)險(xiǎn)隱患。

同理，審計(jì)人員可以分析“內(nèi)部調(diào)動(dòng)人員的用戶權(quán)限尚未調(diào)整情況”。

3.審計(jì)軟件重號(hào)分析

為了進(jìn)一步確認(rèn)被審計(jì)單位的員工是否存在一人擁有多個(gè)用戶的情況，采用自主研發(fā)的“易智通軟件”（電子數(shù)據(jù)審計(jì)模擬實(shí)驗(yàn)室軟件）對(duì)采集來(lái)的全單位操作用戶信息數(shù)據(jù)進(jìn)行分析，結(jié)果如圖7所示。

由圖7可以發(fā)現(xiàn)：被審計(jì)單位有664名員工有多個(gè)用戶，且用戶均能正常使用。經(jīng)向被審計(jì)單位延伸取證，最終確認(rèn)除了128名員工的多個(gè)用戶需要保留外，其他536名員工的多個(gè)用戶需要修改。不難看出：多名員工有多個(gè)均能正常使用的用戶的情況對(duì)被審計(jì)單位信息系統(tǒng)的運(yùn)行管理造成潛在的嚴(yán)重風(fēng)險(xiǎn)隱患。

4.離職、內(nèi)部調(diào)動(dòng)人員部門(mén)分布情況可視化分析

一般來(lái)說(shuō)，部門(mén)人員變動(dòng)頻率比較高的部門(mén)在用戶和權(quán)限管理方面容易出現(xiàn)問(wèn)題，需要審計(jì)人員重點(diǎn)關(guān)注。為了進(jìn)一步分析哪些部門(mén)人員變動(dòng)頻率比較高，可以采用大數(shù)據(jù)可視化工具對(duì)采集來(lái)的離職、內(nèi)部調(diào)動(dòng)人員數(shù)據(jù)進(jìn)行綜合分析，結(jié)果如圖8所示。

圖8的分析結(jié)果表明：該被審計(jì)單位在營(yíng)業(yè)部、信息技術(shù)中心、分公司工作等部門(mén)工作的員工離職和內(nèi)部調(diào)動(dòng)情況頻率較高，建議該被審計(jì)單位今后應(yīng)注重對(duì)這些部門(mén)用戶和權(quán)限的管理。

五、總 結(jié)

大數(shù)據(jù)時(shí)代的到來(lái)使得審計(jì)工作不得不面臨被審計(jì)單位的大數(shù)據(jù)環(huán)境，大數(shù)據(jù)環(huán)境下如何開(kāi)展信息系統(tǒng)審計(jì)成為一個(gè)重要問(wèn)題。隨著大數(shù)據(jù)環(huán)境的發(fā)展，被審計(jì)單位信息化程度越來(lái)越高，信息化應(yīng)用范圍越來(lái)越廣，使用的應(yīng)用系統(tǒng)也越來(lái)越多，業(yè)務(wù)系統(tǒng)也越來(lái)越復(fù)雜。這使得目前常用的信息系統(tǒng)審計(jì)方法不能有效地滿足大數(shù)據(jù)環(huán)境下信息系統(tǒng)審計(jì)的需要，采用大數(shù)據(jù)技術(shù)開(kāi)展信息系統(tǒng)審計(jì)成為一種有效的方法。另外，大數(shù)據(jù)環(huán)境下，如何便于審計(jì)人員從整體上把握被審計(jì)大數(shù)據(jù)情況，快速發(fā)現(xiàn)可疑數(shù)據(jù)，提高審計(jì)效率，實(shí)現(xiàn)“集中分析，分散核查”的方式成為大數(shù)據(jù)環(huán)境下開(kāi)展審計(jì)工作的一項(xiàng)重要任務(wù)。本文根據(jù)這一需要，以信息系統(tǒng)用戶及權(quán)限管理審計(jì)為例，分析了大數(shù)據(jù)環(huán)境下如何開(kāi)展信息系統(tǒng)審計(jì)，并采用數(shù)據(jù)庫(kù)工具、大數(shù)據(jù)可視化工具、自主研發(fā)的審計(jì)軟件分析了如何實(shí)施用戶及權(quán)限管理審計(jì)，進(jìn)而證明了本文研究的可行性和有效性。